如何使用符合LDAP的身份服務(wù)配置身份認(rèn)證

發(fā)布時(shí)間：2022-01-05 18:14:03 來源：億速云閱讀：229 作者：柒染欄目：大數(shù)據(jù)

如何使用符合LDAP的身份服務(wù)配置身份認(rèn)證，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

如何在Cloudera Manager中使用LDAP配置身份認(rèn)證。

在Cloudera Manager中使用LDAP配置身份認(rèn)證

LDAP兼容的身份/目錄服務(wù)（例如OpenLDAP）提供了不同的選項(xiàng)，以使Cloudera Manager能夠在目錄中查找用戶帳戶和組：

? 使用單個(gè)專有名稱（DN）作為基礎(chǔ)，并提供一種模式（專有名稱模式）以匹配目錄中的用戶名，或者

? 搜索過濾器選項(xiàng)使您可以根據(jù)更廣泛的搜索條件來搜索特定用戶-例如，Cloudera Manager用戶可以是不同組或組織單位（OU）的成員，因此單個(gè)模式無法找到所有這些用戶。搜索過濾器選項(xiàng)還使您可以找到用戶所屬的所有組，以幫助確定該用戶是否應(yīng)具有登錄名或管理員訪問權(quán)限。

1) 登錄到Cloudera Manager管理控制臺(tái)。

2) 選擇管理>設(shè)置。

3) 為類別過濾器選擇外部身份認(rèn)證以顯示設(shè)置。

4) 對(duì)于“身份認(rèn)證后端順序”，選擇Cloudera Manager應(yīng)為登錄嘗試查找身份認(rèn)證憑證的順序。

5) 對(duì)于“外部身份認(rèn)證類型”，選擇“ LDAP”。

6) 在LDAP URL屬性中，提供LDAP服務(wù)器的URL和（可選）作為URL的一部分的基礎(chǔ)專有名稱（DN）（搜索基礎(chǔ)）（例如） ldap://ldap-server.corp.com/dc=corp,dc=com。

7) 如果您的服務(wù)器不允許匿名綁定，請(qǐng)?zhí)峁┯糜诮壎ǖ侥夸浀挠脩鬌N和密碼。這些是LDAP綁定用戶專有名稱和 LDAP綁定密碼屬性。默認(rèn)情況下，Cloudera Manager假定匿名綁定。

8) 使用以下方法之一搜索用戶和組：

? 您可以使用“用戶”或“組”搜索過濾器，LDAP User Search Base, LDAP User Search Filter, LDAP Group Search Base and LDAP Group Search Filter設(shè)置進(jìn)行搜索。這些允許您將基本DN與搜索過濾器結(jié)合使用，以允許更大范圍的搜索目標(biāo)。

例如，如果要認(rèn)證可能屬于多個(gè)OU之一的用戶，則搜索過濾器機(jī)制將允許這樣做。您可以將用戶搜索基礎(chǔ)DN指定為 dc=corp,dc=com，將用戶搜索過濾器指定為 uid={0}。然后，Cloudera Manager將在從基本DN開始的樹中任何位置搜索用戶。假設(shè)你有兩個(gè)OUs- ou=Engineering和 ou=Operations-Cloudera經(jīng)理會(huì)發(fā)現(xiàn)用戶“foo”是否存在在這些OU中，如果存在，則為 uid=foo,ou=Engineering,dc=corp,dc=com或 uid=foo,ou=Operations,dc=corp,dc=com。

您可以將用戶搜索過濾器與DN模式一起使用，以便在DN模式搜索失敗時(shí)，搜索過濾器可以提供備用。

“組”過濾器使您可以搜索以確定DN或用戶名是否是目標(biāo)組的成員。在這種情況下，您提供的過濾器可能類似于 member={0}將要認(rèn)證的用戶的 DN替換為 {0}的地方。對(duì)于需要用戶名的過濾器，可以使用 {1}，即 memberUid={1} ，這將返回用戶所屬的組列表，該列表將與討論的組屬性中的列表進(jìn)行比較。

? 或者，指定一個(gè)基本的專有名稱（DN），然后在LDAP專有名稱模式屬性中提供“專有名稱模式” 。

在模式中使用 {0}來指示用戶名應(yīng)該去哪里。例如，要搜索 uid屬性是用戶名的專有名稱，您可以提供類似于的模式 uid={0},ou=People,dc=corp,dc=com。Cloudera Manager將登錄時(shí)提供的名稱替換為該模式，并搜索該特定用戶。因此，如果用戶在Cloudera Manager登錄頁面上提供用戶名“ foo”，則Cloudera Manager將搜索DN uid=foo,ou=People,dc=corp,dc=com。

如果您提供了基本DN和URL，則該模式僅需要指定DN模式的其余部分。例如，如果您提供的URL是 ldap://ldap-server.corp.com/dc=corp,dc=com，模式是 uid={0},ou=People，則搜索DN將是 uid=foo,ou=People,dc=corp,dc=com。

9) 重新啟動(dòng)Cloudera Manager Server。

配置Cloudera Manager以使用LDAPS

如果LDAP服務(wù)器證書已由受信任的證書頒發(fā)機(jī)構(gòu)簽名，則下面的步驟1和2可能不是必需的。

1) 將CA證書文件復(fù)制到Cloudera Manager Server主機(jī)。

2) 將CA證書從CA證書文件導(dǎo)入本地truststore。默認(rèn)truststore位于 $JAVA_HOME/jre/lib/security/cacerts文件中。

這包含JDK隨附的默認(rèn)CA信息。在 cacerts文件的相同位置創(chuàng)建一個(gè)備用默認(rèn)文件 jssecacerts?，F(xiàn)在，您可以安全地為默認(rèn) cacerts文件中不存在的任何私有或公共CA附加CA證書，同時(shí)保持原始文件不變。

對(duì)于我們的示例，我們將遵循以下建議：將默認(rèn) cacerts文件復(fù)制到新 jssecacerts文件中，然后將CA證書導(dǎo)入此備用truststore。

cp $JAVA_HOME/jre/lib/security/cacerts $JAVA_HOME/jre/lib/security/jssecacerts$ /usr/java/latest/bin/keytool -import -alias nt_domain_name-keystore /usr/java/latest/jre/lib/security/jssecacerts -file path_to_CA_cert

注意

Cacerts 存儲(chǔ) 的默認(rèn)密碼是 changeit 。在 -alias 并不總是需要的域名。

另外，您可以使用Java選項(xiàng)： javax.net.ssl.trustStore和 javax.net.ssl.trustStorePassword。打開 /etc/default/cloudera-scm-server文件并添加以下選項(xiàng)：

export CMF_JAVA_OPTS="-Xmx2G -XX:MaxPermSize=256m -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/tmp -Djavax.net.ssl.trustStore=/usr/java/default/jre/lib/security/jssecacerts -Djavax.net.ssl.trustStorePassword=changeit"

3) 配置 LDAP URL屬性以代替 ldaps:// ldap_serverldap:// ldap_server

4) 重新啟動(dòng)Cloudera Manager Server。

看完上述內(nèi)容，你們掌握如何使用符合LDAP的身份服務(wù)配置身份認(rèn)證的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！

向AI問一下細(xì)節(jié)

如何使用符合LDAP的身份服務(wù)配置身份認(rèn)證

猜你喜歡

最新資訊

相關(guān)推薦

相關(guān)標(biāo)簽